Русская угроза: как киберрасcледователи увеличили доходы на 500%

Фото: Nacho Doce / Reuters

В мае 2017 года компания CrowdStrike, специализирующаяся на расследовании компьютерных преступлений, получила $100 млн в рамках очередного раунда инвестиций. Общая стоимость компании была оценена в $1 млрд, а главным инвестором выступил венчурный фонд Accel, уже вложившийся в Facebook и Dropbox, к которому присоединились CapitalG (бывший Google Capital) и другие известные фонды из Кремниевой долины.

CrowdStrike, созданная выходцами из McAfee Джорджем Курцем и Дмитрием Альперовичем, в 2015 году была включена Forbes в сотню самых многообещающих американских компаний. Но ее звездный час настал в декабре 2016 года, когда CrowdStrike опубликовала отчет о своем расследовании взлома компьютеров Демократической партии США. Компания утверждала, что нашла доказательства причастности российской военной разведки к взлому. В результате помимо бесчисленных интервью в ведущих мировых изданиях CrowdStrike получила вполне осязаемую выгоду: как сообщили ее представители изданию TechCrunch, выручка от продаж основного продукта — подписки на комплексное решение в области кибербезопасности — выросла почти на 500%.

Презентация за $25 млн

Несмотря на мировой резонанс, который вызвала публикация доклада, о самой компании известно не слишком много. Сооснователь CrowdStrike Курц сделал карьеру в McAfee, поднявшись до поста технического директора и старшего вице-президента по работе с корпоративным сектором. В 1999 году Курц создал собственную компанию, специализирующуюся на кибербезопасности,  Foundstone, которую в 2004 году продал McAfee. Партнер Курца Альперович на посту вице-президента по исследованию угроз McAfee участвовал в расследовании «Операции Аврора» — серии кибератак на крупнейшие американские компании (Google, Adobe Systems, Northrop Grumman, Morgan Stanley и т.п.), осуществленной в 2010 году структурами, предположительно связанными с Народно-освободительной армией Китая. После «Операции Аврора» в медиа и соцсетях стали открыто говорить о том, что крупнейшие мировые державы готовятся к кибервойне и озабочены созданием специальных хакерских групп, целью которых могут быть атаки на IT​-инфраструктуру потенциальных противников, кража информации и разного рода диверсии.

Как рассказал Курц изданию Inc, идея нового проекта посетила его в зале ожидания аэропорта. Он наблюдал за одним из пассажиров, который включил ноутбук и 15 минут ждал, пока McAfee завершит проверку на вирусы. Курц, который в тот момент был топ-менеджером McAfee, решил, что создаст антивирусное решение, полностью базирующееся в «облаке», что позволит снизить нагрузку на пользователей ПК. Курц отправил своим друзьям, работавшим в инвесткомпании Warburg Pincus, презентацию нового проекта из 25 слайдов и вскоре получил $25 млн инвестиций. Предприниматель шутит, что слайдов надо было сделать больше.

Фото: CrowdStrike / Twitter

В 2011 году Курц и Альперович запустили CrowdStrike. Тогда Курц написал в своем блоге, что компания будет заниматься не только защитой от киберугроз, но и расследованием компьютерных преступлений, то есть сможет сообщать клиенту, кто его «заказал» хакерам. По оценке Курца, только 40% инцидентов в сфере информбезопасности происходят случайно, а более половины атак являются адресными, то есть сперва злоумышленники изучают компанию, ищут, через кого можно получить доступ к ее данным, и пишут специальное вредоносное ПО. Такие атаки намного опаснее случайных, и для борьбы с ними нужны другие методы — наблюдение за сотрудниками, обмен данными с полицией и военными, изучение возможных связей и почерка хакеров. В 2012 году партнеры позвали в свою команду Шона Генри, бывшего исполнительного помощника директора ФБР, который возглавил дочернюю структуру компании CrowdStrike Services, занимающуюся предотвращением компьютерных преступлений и поиском хакеров.

Летом 2014 года CrowdStrike опубликовала отчет о расследовании деятельности хакерской группы Putter Panda (названия хакерским группам дает сама компания), из которого следовало, что китайские хакеры при поддержке военных КНР осуществляли атаки на IT-инфраструктуру правительственных агентств США и американских компаний, занятых в телекоммуникационном и энергетическом секторах, а также предприятий ядерной отрасли. Департамент юстиции США выдвинул обвинения против пяти высших офицеров Народно-освободительной армии Китая, которые китайские военные, разумеется, отвергли. В 2015 году Альперович заявил агентству Reuters, что его компания успешно предотвратила атаку китайской хакерской группы Hurricane Panda на инфраструктуру одной из крупных американских телекоммуникационных компаний.

Russians did it

Но наибольшую известность компании принесла борьба с «российской угрозой». В 2014 году CrowdStrike сообщила об активности хакерской группы Energetic Bear, которая за несколько лет осуществила кибератаки на более чем 2000 компаний по всему миру, специализируясь в основном на энергетическом секторе и промышленных предприятиях. Специалисты CrowdStrike пришли к выводу, что за Energetic Bear стоят российские военные. «Лаборатория Касперского» подтвердила факт активности этой группы, но не нашла доказательств, что она связана с Россией. «Проанализировав полученные данные, мы можем подтвердить, что жертвы группы представляют не только энергетический сектор, но и многие другие секторы экономики. Тег Bear (медведь) отражает тот факт, что, по мнению CrowdStrike, группа имеет российское происхождение. Нам не удалось подтвердить этот тезис», — говорится в отчете лаборатории.

Вермонтская компания Burlington Electric, которую СМИ назвали одной из основных жертв атаки, заявила, что ноутбук одного из сотрудников, на котором было обнаружено подозрительное ПО, не был подключен к какому-либо оборудованию, управляющему энергосетями. Washington Post напечатала опровержение своей статьи, где говорилось, что «русские хакеры» получили контроль над энергосистемой Вермонта, однако губернатор штата Питер Шумлин назвал российского президента «одним из главных разбойников мира» и потребовал всеобъемлющего расследования.

В декабре 2016 года CrowdStrike опубликовала получивший еще больший резонанс доклад, в котором утверждалось, что взлом ресурсов Национального комитета Демократической партии США (DNC) во время предвыборной кампании осуществила хакерская группировка Fancy Bear, подконтрольная российской военной разведке. В качестве доказательства был приведен факт, что для взлома сервера демократов и приложения для Android, которое украинские военные используют для упрощения расчетов при работе артиллерии, применялся один и тот же вирус.

Доклад неоднократно подвергался критике — создатель упомянутого приложения для украинских военных, например, отрицал сам факт взлома. Подозрение вызвало и то, что Национальный комитет Демократической партии США, который нанял CrowdStrike для расследования инцидента, отказался предоставить доступ к своим серверам представителям ФБР, пытавшимся проверить данные отчета CrowdStrike.

В конечном счете неоспоримых доказательств «русского следа» предоставлено не было. Зато другое можно утверждать наверняка: благодаря борьбе с неуловимыми «российскими хакерами» Курц и Альперович способствовали стремительному формированию нового рынка услуг, специализирующегося на всех аспектах защиты в киберпространстве.

Дмитрий Альперович

(Фото: Keith Bedford / Reuters)

Сейчас CrowdStrike обслуживает клиентов в 176 странах и ежедневно обрабатывает более 40 млрд инцидентов в сфере кибербезопасности. Она предлагает своим клиентам два основных типа продуктов — платформу комплексной защиты от киберугроз и консалтинговые услуги, включающие анализ инцидентов в сфере информационной безопасности, составление планов по отражению будущих атак, расследование компьютерных преступлений и анализ рисков, в том числе проверку сделок по слиянию и поглощению на риски, связанные с кибербезопасностью. Выручка компании в 2015 году составила $27,3 млн, продемонстрировав рост на 2429% за три года. Прогноз по выручке компании на 2017 год — $100 млн. В ходе последнего раунда инвестиций компания также сообщила, что годовой прирост доходов от подписки на платформу Falcon составил 476%.

Непаханое поле

По оценке аналитической компании IDC, объем мирового рынка информационной безопасности в 2016 году составил $74 млрд. Согласно данным аналитического центра InfoWatch, в 2016 году первое место по количеству утечек данных заняли США (838 случаев, или 57% от всех произошедших). Россия оказалась на уже привычном втором. При этом в 2016 году на долю России пришлось 213 случаев несанкционированного доступа к информации — почти в два раза больше, чем годом ранее. Третье и четвертое места заняли Великобритания и Канада (67 и 37 случаев соответственно).

Эксперты компании Gartner прогнозируют, что мировые расходы на информационную безопасность к концу 2020 года могут превысить $170 млрд. Среднегодовой темп роста составит 20%, быстрее всего будут расти направления тестирования безопасности, IT-аутсорсинга и решений для защиты от утечек информации.

Фото: CrowdStrike / Twitter

Несмотря на то что CrowdStrike фактически работает на рождающемся на глазах рынке расследования кибератак, аналитики чаще всего считают его сегментом существующего уже около десятилетия рынка обнаружения и реагирования на инциденты, связанные с безопасностью. Крупнейшим игроком на нем является основанная в 2007 году Tanium, а CrowdStrike находится в середине рейтинга. По оценке Gartner, этот рынок вырос за год почти в два раза — с $238 млн в 2015-м до $500 млн в 2016 году. В узком сегменте расследования кибератак ближайшим конкурентом CrowdStrike является компания Cylance, чья капитализация в 2016 году превысила $1 млрд. Основатель компании Стюарт Макклу делает ставку на искусственный интеллект: по его мнению, раскрывать преступные замыслы взломщиков под силу только самообучающимся программам.